RGPD : un salarié licencié peut exiger l'accès à ses courriels professionnels
Un directeur associé licencié pour harcèlement demande à son ancien employeur la communication de l’intégralité de ses courriels professionnels, sur le fondement de l’article 15 du RGPD. L’employeur refuse. La Cour de cassation tranche pour la première fois : les courriels émis ou reçus via la messagerie professionnelle constituent des données à caractère personnel. Le salarié dispose d’un droit d’accès, et l’employeur doit communiquer le contenu et les métadonnées (Cass. soc., 18 juin 2025, n° 23-19.022, publié au Bulletin).
Les faits : un refus catégorique
Le salarié, directeur associé d’une société de conseil, est licencié en mars 2018. Contestant son licenciement devant les prud’hommes, il demande par ailleurs la communication de ses courriels professionnels échangés pendant la relation de travail, en invoquant le droit d’accès prévu par l’article 15 du règlement européen sur la protection des données (RGPD).
L’employeur transmet des documents annexes — bulletins de paie, documents de fin de contrat — mais refuse de communiquer les courriels et leurs métadonnées. Sa position : les courriels professionnels émis dans le cadre de l’exécution du contrat de travail ne constitueraient pas des données à caractère personnel au sens du RGPD.
La cour d’appel de Paris condamne l’employeur pour violation du droit d’accès. L’employeur forme un pourvoi.
La solution : les courriels sont des données personnelles
La Cour de cassation rejette le pourvoi et pose un principe inédit en droit social :
Cass. soc., 18 juin 2025, n° 23-19.022 — Les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle constituent des données à caractère personnel au sens de l’article 4 du RGPD. Le salarié dispose d’un droit d’accès en application de l’article 15 du même règlement. L’employeur doit communiquer tant les métadonnées que le contenu des courriels, sauf atteinte aux droits et libertés d’autrui.
La qualification est large. L’article 4 du RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. Un courriel envoyé depuis l’adresse prenom.nom@entreprise.fr identifie directement son auteur. Le contenu, l’horodatage, les destinataires, les pièces jointes : tout entre dans le champ de la protection.
Un premier arrêt sur le sujet
La chambre sociale n’avait jamais statué sur le droit d’accès RGPD appliqué aux courriels professionnels. Les juridictions du fond étaient divisées. Certaines accueillaient les demandes, d’autres les rejetaient au motif que le courriel professionnel appartient à l’entreprise et ne relève pas du champ du RGPD.
La Cour de cassation tranche le débat. Le fait que le courriel soit émis dans un cadre professionnel, avec un outil fourni par l’employeur, ne lui retire pas sa nature de donnée personnelle. Le RGPD ne distingue pas entre données personnelles et données professionnelles — il protège toute information se rapportant à une personne identifiable, quel que soit le contexte.
La seule limite reconnue par la Cour est celle de l’article 15, paragraphe 4 du RGPD : le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui. Les courriels contiennent souvent des données de tiers — collègues, clients, partenaires. L’employeur peut anonymiser ou expurger ces données tierces, à condition de motiver précisément chaque restriction. Le refus global et non motivé est exclu.
Ce que l’employeur doit changer
Conservez les boîtes mail après le départ du salarié. La suppression immédiate de la messagerie professionnelle au moment du départ est une pratique courante — et désormais risquée. Si le salarié exerce son droit d’accès après son départ et que les courriels ont été détruits, l’entreprise ne peut plus répondre à la demande. La CNIL recommande de définir dans une charte informatique la durée de conservation des boîtes mail post-départ, proportionnée à la finalité et documentée.
Répondez dans le délai d’un mois. L’article 12 du RGPD impose un délai d’un mois pour répondre à une demande d’accès, prorogeable d’un mois supplémentaire en cas de complexité. La prorogation doit être notifiée au demandeur dans le premier mois, avec ses motifs. Le silence ou le refus non motivé expose à des dommages-intérêts devant les prud’hommes — et potentiellement à une plainte devant la CNIL.
Mettez à jour votre charte informatique. La charte doit préciser : la durée de conservation des données de messagerie après la fin du contrat, la procédure de traitement des demandes d’accès, les modalités d’anonymisation des données de tiers, et le responsable interne désigné pour traiter ces demandes. Si votre charte est muette sur ces points, c’est le moment de la compléter.
Formez vos équipes RH et IT. La demande d’accès RGPD peut arriver à n’importe quel moment après le départ — pendant la prescription triennale du contentieux prud’homal, voire au-delà. Vos équipes doivent savoir identifier une demande d’accès RGPD, la transmettre au DPO ou au responsable de traitement, et ne jamais y répondre par un refus de principe.
Le RGPD comme levier contentieux
L’arrêt transforme le droit d’accès RGPD en instrument stratégique dans les contentieux prud’homaux. Un salarié qui conteste son licenciement peut demander la communication de ses courriels pour y trouver des éléments de preuve — échanges contredisant les griefs invoqués, instructions hiérarchiques, témoignages écrits. Le RGPD lui donne un fondement juridique autonome, indépendant des règles de production de pièces en procédure civile.
Pour l’employeur, le risque est double. Le refus non justifié de communiquer les courriels donne lieu à des dommages-intérêts distincts du contentieux sur le licenciement. Et la communication forcée des courriels peut alimenter le dossier du salarié sur le fond.
La parade n’est pas le refus — elle est la prévention. Une politique de messagerie claire, une durée de conservation définie, une procédure de réponse opérationnelle : ces mesures ne suppriment pas le droit d’accès, mais elles en encadrent l’exercice et protègent l’entreprise contre les demandes disproportionnées.